Brexit- Großbritannien von nun an als Drittland?

Einleitung

Die Bürger Großbritanniens haben am 23.06.2016 für den Austritt aus der Europäischen Union (EU) gestimmt. Die Folgen dessen zeigen sich. Die Europäische Kommission verkündete in einer Mitteilung vom 09.01.2018, dass das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) einzustufen ist. Durch den „Brexit“ wird das Primär- und Sekundärrecht der EU zu diesem Datum nicht mehr anwendbar sein. Großbritannien und Nordirland sind datenschutzrechtlich damit so zu behandeln wie die USA, Russland oder China. Damit macht die Kommission deutlich, dass sie – entgegen entsprechender Hoffnungen – das Datenschutzniveau in Großbritannien nicht ohne weiteres als angemessen anerkennen wird. Diese Nachricht hat einige Brisanz und stellt Unternehmen vor neue Herausforderungen.

Vorschriften des Datentransfers in Drittstaaten nach Art. 44 ff. DSGVO

Jedoch wird ohne einen Angemessenheitsbeschluss die Datenübermittlung nicht ganz unmöglich sein. Sie wird allerdings komplexer. Die zu diesem Zeitpunkt bereits geltende Datenschutz-Grundverordnung sieht in Art. 46 Abs. 1 DSGVO vor, dass eine Übermittlung ohne einen Angemessenheitsbeschluss (Art. 45 DSGVO) nur mit geeigneten Garantien möglich ist. Wie diese Garantien erbracht werden können zeigt Art. 46 Abs. 2 DSGVO auf, der verschiedene Möglichkeiten aufzählt. Verantwortliche und Auftragsverarbeiter werden wohl vorrangig auf EU-Standardvertragsklauseln zurückgreifen. Des Weiteren könnten genehmigte Verhaltensregeln (Code of Conduct) und Zertifizierungsmechanismen als Übermittlungsgrundlage dienen. Im Blickpunkt werden aber die Musterverträge der EU stehen, die bislang im britischen Verhältnis nicht zur Anwendung kamen, jetzt aber enorm an Bedeutung gewinnen werden. Allerdings können die alten Musterverträge nicht unbesehen herangezogen werden, sondern benötigen eine Revision durch die Europäische Kommission. Gewarnt werden soll vor eigenmächtigen Anpassungen durch einzelne verantwortliche Stellen; denn so droht der Verlust des mit dem Mustervertrag verbundenen Privilegs. Erschwerend kommt hinzu, dass die Musterverträge nur die Situation „Controller zu Prozessor“ und „Controller zu Controller“ kennen. Wenn also eine britische Muttergesellschaft die Daten an eine deutsche Tochtergesellschaft übersendet und dann wieder zurückholt, passen die Muster nicht.

Datentransfer ohne Angemessenheitsbeschluss bis März 2019 möglich

Der Datentransfer wird aber zwischen Mai 2018 und März 2019 nach oder aus Großbritannien unter keinen größeren Hürden stehen, denn bis zum Austrittsdatum gilt die Datenschutz-Grundverordnung auch dort. Es bleibt aber ein Fakt: ohne Verhandlungen und neue Verträge zwischen der EU und Großbritannien wird ein Datenaustausch bereits in einem Jahr massiv gestört und eingeschränkt sein. Unternehmen in der EU sollten sich also frühzeitig um die rechtssichere Ausgestaltung ihrer Datentransfers in das Vereinigte Königreich bemühen.

Bußgeld bei fehlendem Angemessenheitsbeschluss

Zu beachten ist aber, dass wenn Angemessenheitsbeschluss besteht und Unternehmen ihrerseits keine Art. 46 DSGVO entsprechende Garantien schaffen, drohen nach Art. 83 DSGVO hohe Bußgelder.

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.